Linux系統(tǒng)中如何使用iptables工具管理防火墻

Linux系統(tǒng)中如何使用iptables工具管理防火墻，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

隨著企業(yè)中使用Linux系統(tǒng)的增加，保證Linux系統(tǒng)安全成為運(yùn)維人員的必備技能之一。

Linux系統(tǒng)本身有很強(qiáng)大的防護(hù)措施：防火墻。那么如何管理防火墻就成為重中之重。

隨著CentOS 7、CentOS 8的出現(xiàn)，越來越多的人喜歡使用firewalld工具來管理防火墻。因為它不僅可以通過命令行設(shè)置，也可以通過圖形化設(shè)置。關(guān)于使用firewalld工具管理Linux防火墻，可參考保證Linux系統(tǒng)安全之使用firewalld工具管理防火墻

下面我們主要介紹iptables工具管理防火墻。

iptables概述：

提到iptables，那么就不得不說一下四表五鏈、執(zhí)行的動作。

四表分別是：

• raw：高級功能，如：網(wǎng)址過濾；

• mangle：數(shù)據(jù)包修改（QOS），用于實(shí)現(xiàn)服務(wù)質(zhì)量；

• net：地址轉(zhuǎn)換，用于網(wǎng)關(guān)路由器；

• filter：包過濾，用于防火墻規(guī)則；

五鏈分別是：

• INPUT鏈：處理輸入數(shù)據(jù)包；

• OUTPUT鏈：處理輸出數(shù)據(jù)包；

• PORWARD鏈：處理轉(zhuǎn)發(fā)數(shù)據(jù)包；

• PREROUTING鏈：用于目標(biāo)地址轉(zhuǎn)換（DNAT）；

• POSTOUTING鏈：用于源地址轉(zhuǎn)換（SNAT）；

執(zhí)行的動作分別是：

• accept：接收數(shù)據(jù)包；

• DROP：丟棄數(shù)據(jù)包；

• REDIRECT：重定向、映射、透明代理；

• SNAT：源地址轉(zhuǎn)換；

• DNAT：目標(biāo)地址轉(zhuǎn)換；

• MASQUERADE：IP偽裝（NAT），用于ADSL；

• LOG：日志記錄；

iptables命令常用的選項有：

• -t<表>：指定要操縱的表；

• -A：向規(guī)則鏈中添加條目；

• -D：從規(guī)則鏈中刪除條目；

• -i：向規(guī)則鏈中插入條目；

• -R：替換規(guī)則鏈中的條目；

• -L：顯示規(guī)則鏈中已有的條目；

• -F：清楚規(guī)則鏈中已有的條目；

• -Z：清空規(guī)則鏈中的數(shù)據(jù)包計算器和字節(jié)計數(shù)器；

• -N：創(chuàng)建新的用戶自定義規(guī)則鏈；

• -P：定義規(guī)則鏈中的默認(rèn)目標(biāo)；

• -h：顯示幫助信息；

• -p：指定要匹配的數(shù)據(jù)包協(xié)議類型；

• -s：指定要匹配的數(shù)據(jù)包源ip地址；

• -j<目標(biāo)>：指定要跳轉(zhuǎn)的目標(biāo)；

• -i<網(wǎng)絡(luò)接口>：指定數(shù)據(jù)包進(jìn)入本機(jī)的網(wǎng)絡(luò)接口；

• -o<網(wǎng)絡(luò)接口>：指定數(shù)據(jù)包要離開本機(jī)所使用的網(wǎng)絡(luò)接口；

iptables命令選項輸入順序：

iptables -t 表名 <-A/I/D/R> 規(guī)則鏈名 [規(guī)則號] <-i/o 網(wǎng)卡名> -p 協(xié)議名 <-s 源IP/源子網(wǎng)> --sport 源端口 <-d 目標(biāo)IP/目標(biāo)子網(wǎng)> --dport 目標(biāo)端口 -j 動作

iptables命令示例：

[root@localhost ~]#iptables -F               // 清空所有的防火墻規(guī)則
[root@localhost ~]#iptables -F INPUT    //清空指定鏈 INPUT 上面的所有規(guī)則
[root@localhost ~]#iptables -X               // 刪除用戶自定義的空鏈
[root@localhost ~]#iptables -Z               //清空計數(shù)
[root@localhost ~]#iptables -P INPUT DROP              //配置默認(rèn)的不讓進(jìn)
[root@localhost ~]#iptables -P FORWARD DROP        //默認(rèn)的不允許轉(zhuǎn)發(fā)
[root@localhost ~]#iptables -P OUTPUT ACCEPT        //默認(rèn)的可以出去
將INPUT規(guī)則鏈設(shè)置為只允許指定網(wǎng)段的主機(jī)訪問本機(jī)的22端口，拒絕來自其他所有主機(jī)的流量：
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp  --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables-save                //保存配置
如果我只允許192.168.1.100和192.168.1.110 的PING命令，應(yīng)該怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP
如果我只允許192.168.1.0/24網(wǎng)段的，但拒絕192.168.1.100和192.168.1.110 的PING命令，應(yīng)該怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j DROP 
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j DROP
向INPUT規(guī)則鏈中添加拒絕所有人訪問本機(jī)12345端口的策略規(guī)則
[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345  -j REJECT
[root@localhost ~]# iptables -I INPUT -p UDP --dport 12345  -j REJECT
向INPUT規(guī)則鏈中添加拒絕所有主機(jī)訪問本機(jī)1000～1024端口的策略規(guī)則
[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -A INPUT -p UDp --dport 1000:1024 -j REJECT

注意：iptables工具檢查策略時按照：從上到下，找到即停，如果沒有找到則執(zhí)行默認(rèn)的策略！所以在添加規(guī)則時，應(yīng)注意策略的添加順序！

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。